警惕,WinRAR和TrueCrypt安裝程序在用戶電腦中植入惡意程序
WinRAR解壓縮軟體在中國有非常大的保有量,中國也是WinRAR的重要市場。不過最近卡巴斯基實驗室的研究報告卻讓我們驚出一身冷汗,某些來源的WinRAR和TrueCrypt安裝程序會在我們的電腦中植入惡意程序,竊取電腦硬碟信息和隱私人信息。
矛盾之爭
WinRAR採用AES-256位加密技術對文件進行加密,TrueCrypt則是一個全盤加密工具。兩者都對文件提供強大、可靠的加密。照理說,不應該出現什麼問題的啊。但問題確實發生了。
據卡巴斯基實驗室的報告稱,他們在WinRAR和TrueCrypt的安裝程序中發現了一個來自StrongPit團隊的新惡意程序,這個程序會在用戶安裝後啟動。
對於StrongPit,相信大家應該是有耳聞,已經在黑客行業耕耘多年,而最近,他們又迷上了用戶的加密工具。這個團隊主要是採用Watering-Hole、感染安裝程序、以及惡意程序等對用戶的加密軟體進行攻擊,也算是一個老油條了。該團隊曾在過去發起過zero-day attack(零日攻擊,針對沒有補丁的漏洞的攻擊)。通過對他們的研究發現,這個團隊存在以下特點:
1.決定無比正確,
2.資源十分豐富,
3.而且方式較新,
4.完全不計後果。
如何實現攻擊?
StrongPity
通過建立一個與合法網站相似度極高的網站下載站點,欺騙用戶下載含有惡意程序的加密應用,攻擊者在數據加密未完成之前就獲得了完整的數據。除了基本的釣魚攻擊外,攻擊者甚至還劫持了
WinRAR
和
TrueCrypt
的相關域名,替換了
WinRAR和TrueCrypt安裝程序文件的原本鏈接。如果用戶點擊了這個下載鏈接,就會在神不知鬼不覺中下載惡意程序。一旦惡意程序被安裝,它就會控制整個系統,進而獲得各種敏感數據。卡巴斯基表示:
在今年的攻擊中,StrongPity拋棄了以往的ICS或SCADA攻擊。而是通過模仿WinRAR的合法網站建立了一個域名為ralrab.com的網站,然後將合法網站的推薦按鈕鏈接到含有惡意程序的網站上,讓用戶下載含有惡意程序的安裝軟體。當然,其他鏈接則正常鏈接到合法軟體。
StrongPity提供了32位和64位的法語和荷蘭語版本供下載:
hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe
hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe
hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe
hxxp://www.ralrab[.]com/rar/wrar531.exe
hxxp://www.ralrab[.]com/rar/wrar531fr.exe
hxxp://www.ralrab[.]com/rar/wrar531nl.exe
hxxp://ralrab[.]com/rar/winrar-x64-531.exe
hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe
hxxp://ralrab[.]com/rar/wrar531fr.exe
hxxp://ralrab[.]com/rar/wrar531nl.exe
hxxp://ralrab[.]com/rar/wrar53b5.exe
ralrab.com上含有惡意程序的安裝文件
StrongPity這種下載程序標榜著「非同尋常的數字證書」,但是他們並沒有重用這種虛假的數字證書。這種程序的下載組件包括一個後門、鍵盤記錄器、數據盜取器和其他的軟體程序,包括putty SSH客戶端、伺服器源代碼分析(filezilla FTP)客戶端、Wnscp安全文件傳輸程序和遠程桌面客戶端。
範圍廣,危害大
卡巴斯基實驗室的報告數據顯示,今年就有超過1000種系統被這種程序影響。影響範圍也比較廣,歐洲、中東甚至非洲都未能倖免。
義大利、土耳其、比利時、阿爾及利亞和法國是其中受影響最為嚴重的。
winrar[.]it StrongPity component geolocation distribution
在差不多的時間範圍內,有超過60個旅遊者發現他們的網站從winrar.be變為了ralrab.com,而且都是位於一個國家。在5月25至6月初這段時間內,受害國家主要集中為阿爾及利亞、摩洛哥、荷蘭、加拿大、象牙海岸和突尼西亞。
winrar[.]be StrongPity component geolocation distribution
這個團隊在2015年年底才開始部署Truecrypt-themed 的Watering hole,但在今年的夏末,這種攻擊方式就已經開始暴發。他們建立了一個直接從TrueCrypt的合法網站拉取信息的網站。7月中旬到9月初,很多土耳其和荷蘭的用戶發現他們的網站從tamindir.com導向了true-crypt.com。
tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects
而在該網站(true-crypt.com)的底部,也有一些鏈接指向含有惡意程序的安裝文件:
hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe
hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe
而WinRAR的情況則有點特殊。黑客並不是直接將WinRAR的網站導向黑客控制的網站,而是劫持了合法網站winrar.it,將受害者引導至含有惡意程序版本的網站。winrar.it對義大利影響最為嚴重,其他歐洲國家也受到了一定的影響;而winrar.be則對加拿大、荷蘭等國家造成了影響。
Download page, winrar[.]it
在卡巴斯基研究人員的進一步測試中發現,這個惡意下載程序不僅能讓黑客控制系統,更能讓他們竊取硬碟里的內容,同時,還能下載其他的惡意程序來竊取用戶的聯繫人信息。換句話說,只要他們願意,你的電腦就沒有秘密,他們可以隨時檢索你的私人數據和交流信息。所以,這種程序影響是深遠的。
借用卡巴斯基研究員Kurt Baumgartner的話來說就是「WinRAR的經銷商非常幸運,因為這個惡意程序已經被移除。而且它是通過偽安裝程序鏈接到他們的網站的。」
一個被通過winrar安裝程序傳播的網站
儘管WinRAR已經將它們移除,但一個TrueCrypt經銷商的網站還能在受害者的設備中安裝這種惡意程序。這個惡意程序
通過經銷商的網站
已經在土耳其擴散並影響了相當多的用戶。
如何應對?
我們中國有句老叫做「兵來將擋水來土掩」,既然事情已經發生了,我們就要在行動中注意。
卡巴斯基的安全團隊也給了我們衷告:
「When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers」。
大概就是,在瀏覽或者下載可加密站點時,必須要對網站有效性和文件的完整性進行驗證,養成良好的習慣。而對於下載站點來說,最好是採用PGP協議和強數字密碼簽名來保護用戶的安全。
卡巴斯基研究報告下載鏈接:<點擊文末的閱讀原文查看>
* 參考來源:
hackread
,
thehackernews
,
threatpost
,FB小編latiaojun編譯,轉載請註明來自FreeBuf.COM
TAG: |
※迅龍 Orange Pi Zero ARM迷你電腦 圖集 [Soomal]
※Windows Media Player 正式告別你的 Windows 電腦了
※DK Computer Coding for Kids動畫,電腦是怎麼運行的?
※Google領投Neverware,要為更多的電腦裝上ChromeOS
※Mac book Air 電腦包
※蘋果電腦新系統macOS high Sierra 安裝失敗及解決方法
※Pi-Top:一款Raspberry Pi和Linux驅動的筆記本電腦!
※macOS High Sierra正式版推送,登上更高峰的蘋果電腦系統
※Origin推出怪獸VR-Ready電腦 你搬得動?
※Eurocom推出怪獸VR電腦Sky MX5 R3
※韓國 Helinox希利洛斯 All Way Square Tote電腦雙肩背包
※IT之家學院:Win10 Mobile使用CLSID開啟「此電腦」及C盤教程
※朝鮮Ryonghung平板電腦推新款並取名"iPad"
※華碩為符合GSMA規範的首款微軟Windows 10平板電腦選擇OT-Morpho的嵌入式SIM卡
※Aquantia推出AQtion網路介面卡為高性能電腦和專業工作站
※Prada、MCM包包,Carven外套,Puma鞋!還有人求購電腦!
※Google 要用 Chrome OS 讓你的舊電腦滿血復活
※Surface Book 增強版體驗:最好的 Windows 二合一電腦?
※Honeycam:加水印、壓縮大小,電腦處理 GIF 圖用它又快又方便#Windows